Appearance
Copilot Cloud Agent 的访问控制因订阅类型不同而有差异:个人 Pro/Pro+ 用户默认开启,而企业和组织(Business/Enterprise)用户默认关闭,需要管理员先在组织层面启用。管理员还可以针对特定仓库选择退出(opt-out),防止 Cloud Agent 在敏感仓库中使用。
GitHub Copilot Cloud Agent 访问控制:企业与组织级启用和权限管理
不同订阅的默认状态
| 订阅类型 | Cloud Agent 默认状态 |
|---|---|
| Copilot Pro | 默认开启,立即可用 |
| Copilot Pro+ | 默认开启,立即可用 |
| Copilot Business | 默认关闭,需管理员启用 |
| Copilot Enterprise | 默认关闭,需管理员启用 |
对于 Business 和 Enterprise 用户,Cloud Agent 必须由管理员在组织层面明确启用后,成员才能开始使用。
企业/组织级启用配置
组织管理员:
- 进入组织的 Settings → Copilot
- 找到 Cloud Agent 相关策略
- 根据策略层级(企业级或组织级)选择启用选项
企业级控制优先:如果组织属于某个企业,企业层面的策略会覆盖组织级设置。企业管理员可以在企业级统一开启或关闭 Cloud Agent。
仓库级 Opt-out(选择退出)
默认行为:一旦在组织层面启用 Cloud Agent,所有符合条件的用户都可以在该组织下的任何仓库中使用。
Opt-out 选项:管理员、仓库 Owner、或授权用户可以为特定仓库禁用 Cloud Agent,适用场景:
- 含有高度敏感代码的仓库(金融核心系统、密钥管理服务等)
- 合规要求禁止 AI 工具的仓库
- 暂未准备好 AI 代码审查流程的仓库
退出后,该仓库的用户不再能触发 Cloud Agent 任务。
触发 Cloud Agent 的前提
即使 Cloud Agent 已启用,用户触发任务还需满足:
- 用户对该仓库有写权限(Write Access)
- 仓库没有被 opt-out
- 企业/组织策略中该用户的 Copilot 订阅有效
建议的启用流程(企业/组织)
- 先在小规模试点仓库启用,评估效果和安全性
- 为参与试点的团队成员讲解 Cloud Agent 操作规范
- 确认 PR 审查流程能处理 AI 生成的代码(审查标准不低于人工代码)
- 逐步向更多仓库推广,敏感仓库保持 opt-out 状态
常见问题
Q: 个人 Pro 用户能在别人的仓库中使用 Cloud Agent 吗?
A: 不能。即使你的个人账号有 Pro 订阅,要在某个仓库使用 Cloud Agent,仍然需要该仓库(及其所属组织,如果是组织仓库)允许 Cloud Agent 使用,并且你需要有仓库写权限。
Q: 管理员 opt-out 某个仓库后,正在进行中的 Cloud Agent 任务会怎样?
A: 新任务无法触发;正在进行中的任务行为取决于实现,建议在非高峰期执行配置变更。
Q: 如何知道哪些仓库当前启用/禁用了 Cloud Agent?
A: 在组织的 Copilot 策略页面通常有仓库级别的 opt-out 列表,或通过 GitHub API/GraphQL 查询。